Заражен шлюз. Ошибки SideBySide в системном журнале.
День добрый.
1. По анализу всяких логов вырисовывается картина, что шлюзовый комп был взломан в ночь с 30 апреля на 1 мая. Каким образом - еще не ясно. Но суть не в этом, а в том, что что-то на него подсадили. Похоже, что какой-то даунлодер.
2. Данный факт прошел незамеченным, т.к. выходные, праздники и т.д. Зараженный шлюз работал пару дней нормально. Однако 2 мая после обновления винды я решил его перегрузить. Вот с этого момента и началось самое интересное.
3. При перезагрузке несанкционированно были скачаны из Инета и установлены дополнительные программы. В результате:
4. Система выдает предупреждение о сбое в службе или драйвере при перезагрузке.
5. В системном журнале полно сообщений вида:
Тип события: Ошибка
Источник события: SideBySide
Категория события: Отсутствует
Код события: 59
Дата: 04.05.2012
Время: 9:51:27
Пользователь: Н/Д
Компьютер: GATESERVER01
Описание: Generate Activation Context завершилась не удачно для C:\WINDOW5\system32\safesurf.exe. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
.
или
Описание: Resolve Partial Assembly завершилась не удачно для Microsoft.VC80.CRT.mui. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
.
или
Описание: Resolve Partial Assembly завершилась не удачно для Microsoft.Windows.Common-Controls. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
.
6. На шлюзе установлен NOD32, однако войти в агент управления невозможно: окно пустое без органов управления. Через некоторое время выдает ошибку обмена с ядром ekrnl и значок из трея вообще исчезает.
7. Переустановить NOD32 невозможно, т.к. заблокированы некоторые ветви реестра, которые он пытается удалить при переустановке.
8. Так же на шлюзе установлен сервер обновления вирусных баз NOD32, даже, вроде, работает. Однако, клиенты не могут подключиться к нему. Подключение отсутствует.
9. KVRT обнаружил парочку adware, однако их удаление ситуацию не улучшило.
10. Анализ автозапуска в AVZ и исключение некоторых подозрительных программ не помогло.
11. Вручную удалил всякие странные процессы из системы (при этом они пытались самовосстанавливаться), переименовал их файлы и папки (искал по датам). Не помогло.
12. AVZ с включенным AVZPM показывает большое число маскируемых процессов без имени. Но не совсем понятно, не принадлежат ли они сбойному ядру NOD32.
13. AVZ ругается на заблокированные ключи "eamon", "eamonm", "ehdrv", "EhttpSrv", "ekrn" раздела HKLM\SYSTEM\CurrentControlSet\Services. Те же ключи заблокированы во всех копиях ControlSet. Эти ключи используются NOD32.
Последний раз редактировалось Pochemuk; 04.05.2012 в 18:30.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Pochemuk, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Эта зараза за сутки восстановила практически все удаленные папки и файлы. Подозреваю, что если что и не восстановила, то это к ней отношения не имеет. Часть исполнимых файлов уже в числе запущенных процессов. Сапопроизвольно запускаются некоторые мультимедийные сервисы.
Среди восстановленных файлов такой вот текстовик:
=========================================
ENGLISH VERSION BELOW
Если вы обнаружили этот файл, на вашем копьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap
Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке http://go.jetswap.com/abuse.php?user...authkey=du76g4
Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.
If you found this file on your computer installed SafeSurf, designed for browsing by users of the system JetSwap
If you own a computer and the program was installed without your consent or knowledge, go to http://go.jetswap.com/abuse.php?user...authkey=du76g4
The user will be blocked and the program will be deleted from your computer. We apologize for the actions of one of our users who abuse the system.
==========================================
Вот теперь думаю:
1. Стоит ли переходить по ссылке?
2. Поможет ли это?
3. Каким образом он самовосстановился? Я же поменял все пароли, прикрыл все неиспользуемые порты.
Я написал еще один пост днем, но он почему-то встал на модерацию и до сих пор не появился.
Вкратце его содержание:
Меньше чем через сутки практически все удаленные и переименованные файлы и папки были восстановлены. Многие из восттановленных исполнимых файлов в списке запущенных процессов. Некоторые мультимедийные службы сами запускаются после остановки.
Среди восстановленных файлов есть такой текстовик:
===============
Если вы обнаружили этот файл, на вашем копьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap
Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке _h_t_t_p://******
Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.
===============
Теперь не знаю, стоит ли переходить, как ее мне подсадили и как ее восстановили, если я закрыл все неиспользуемые порты и сменил все пароли?
Повторяю более свежие логи и привожу лог сканирования MBAM
В файле C:\WINDOWS\system32\secort.cpl нет ничего интересного. Текстовая строка:
"04.05.2012 ( 8:11:59)"
Это, похоже, время одной из перезагрузок шлюза. Первой после очень основательной чистки ... Кажется, во время неё был удален прежний файл.
C:\WINDOWS\system32\gptsvc.exe (Trojan.Agent) -> 3628 -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\ASP.NET_Runtime_AJAX (Trojan.Onlinegames) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\ACP.starter (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvc.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\OXAR0PYV\gptsvc[1].exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\apsql.exe.old (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\Microsoft.NET.old\alg.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\WINDOWS\Microsoft.NET.old\wmosrvse.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\srchasst\mui\debr.exe (Browswer.Hijacker) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvc.exe.old (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvcer.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvcer.exe.old (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\wmosrvse.exe.old (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\system32\dhcp\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\ehome\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\ehome.old\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\java\trustlib\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\addins.old\debr.exe (Browswer.Hijacker) -> Действие не было предпринято.
C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
Сообщение от Pochemuk
Эта зараза за сутки восстановила практически все удаленные папки и файлы.
Обнаружил, что после смены паролей кто-то сильно ломился по RDP, подбирая пароль. Сменил на всякий случай еще и порт.
Ключи реестра разблокировать получилось. Просто не увидел, что в правах доступа кем-то были выставлены галки на запреты. Убрал галки, удалось переустановить NOD32 и даже обновление прошло. Но после перезагрузки опять клиенты отказываются подключаться к HTTP-серверу обновлений. Он просто не запускается!!!
Периодически (не в момент перезагрузки, а в произвольные моменты) что-то восстанавливает файлы
папку C:\WINDOWS\PeerNet с троянским файлом wscnrfy.exe и др., пишет какие-то файлы и папки в C:\Windows\Microsoft.NET\
Кстати, в папке C:\WINDOWS\PeerNet находится подпапка temp\$drive_C%, которая, похоже является чем-то вроде виртуального диска для зловреда. Во всяком случае, это там он пытается находить какие-то программы, которые вызывают приведенные в первом посте ошибки журнала.
Добавлено через 58 минут
Путем танцевания с бубнами уговорил NOD32 обновляться.
Но вот что делать со странными самовосстанавливающимися папками и файлами, в которых антивири распознают троянов.
Эти файлы находятся, в основном, в C:\WINDOWS\System32\, некоторые в C:\WINDOWS\System32\drivers\ и C:\WINDOWS\System32\Com\, но так же создаются папки:
C:\WINDOWS\PeerNet\
C:\WINDOWS\ehome\ - несколько дней не восстанавливается, видимо я его "восстановителя" прибил
C:\WINDOWS\System32\dhcp\ - тоже не восстанавливается уже 2 часа, но это ни о чем не говорит.
В этих папках подпапки, похожие на виртуальные диски и папки, а так же исполнимые файлы:
В C:\WINDOWS\ehome\ и C:\WINDOWS\System32\dhcp\ программы сканирования находят трояны производства SafeSurf (см. выше), а в C:\WINDOWS\PeerNet\ не находят, но выглядит она очень похоже по структуре и подозрительно.
Добавлено через 7 часов 23 минуты
Господа!!!
Чувствую, придется систему переустанавливать.
Вычистил всё, что возможно (подозрительное). Сразу после перезагрузки куча маскируемых процессов. Через 20 минут их уже в 3 раза больше и файлы/папки стертые восстановились.
Последний раз редактировалось Pochemuk; 11.05.2012 в 00:04.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: